Acuerdo de Encargado de Tratamiento (DPA)

Versión: 2026-05-04

Este Acuerdo de Encargado de Tratamiento ("DPA") forma parte de los Términos de Servicio entre el Negocio ("Responsable") y MARUBASA TECH S.L. ("Encargado") y regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable al prestar el servicio Sermima.

Encargado: Marubasa Tech S.L., con domicilio social en C/ Zurbano 45, 1º 28010 Madrid, España, CIF B88765094, inscrita en el Registro Mercantil de Madrid, Hoja M-887372.

1. Objeto del tratamiento

Operación del asistente virtual: recepción de mensajes, generación de respuestas con IA, gestión de citas y envíos de recordatorios.

2. Naturaleza y finalidad

Tratamiento automatizado para prestar el servicio contratado, incluyendo almacenamiento, análisis semántico, envío y recepción de mensajes y comunicaciones a terceros sub- encargados.

3. Categorías de datos e interesados

Interesados: visitantes y clientes del Responsable.
Datos: identificación (nombre, teléfono, correo electrónico), contenido de las conversaciones, datos de las citas. No se solicitan categorías especiales.

4. Obligaciones del Encargado

Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidas las contenidas en el servicio.
Garantizar la confidencialidad del personal autorizado.
Aplicar medidas técnicas y organizativas apropiadas (cifrado en tránsito y en reposo, control de acceso, registro de actividad, copias de seguridad).
Asistir al Responsable en el ejercicio de los derechos de los interesados y en la respuesta a brechas de seguridad.
Notificar al Responsable sin dilación cualquier brecha de seguridad de la que tenga conocimiento.
Devolver o suprimir los datos al término del servicio.

5. Sub-encargados

El Responsable autoriza al Encargado a contratar a los siguientes sub-encargados, todos ellos sujetos a obligaciones equivalentes mediante contrato:

Anthropic, PBC (procesamiento de IA - EE. UU.)
OpenAI, OpCo LLC (embeddings, transcripción y síntesis de voz - EE. UU.)
Deepgram, Inc. (transcripción de llamadas de voz en tiempo real - EE. UU.)
ElevenLabs Ltd. (síntesis de voz para llamadas - Reino Unido; usado opcionalmente como alternativa a OpenAI TTS)
Stripe Payments Europe Ltd. (pagos - Irlanda)
Resend, Inc. (correo transaccional - entidad EE. UU., servidores en Irlanda)
Meta Platforms Ireland Ltd. (WhatsApp - Irlanda)
Railway, Inc. (alojamiento - entidad EE. UU., servidores en Países Bajos)

Las transferencias internacionales se amparan en las cláusulas contractuales tipo aprobadas por la Comisión Europea.

6. Borrado y comportamiento de los sub-encargados

Cuando el Responsable ejerce el derecho de supresión, el Encargado borra inmediatamente los datos en la base de datos de producción (incluyendo cascada sobre clientes, conversaciones, mensajes, citas y brechas de conocimiento). Los sub-encargados aplican sus propios plazos: Anthropic y OpenAI eliminan automáticamente el contenido recibido por API en 30 días; Deepgram procesa el audio de llamadas en tiempo real y no lo retiene (la transcripción de texto resultante sí se persiste en Sermima en la tabla de mensajes, junto al resto del historial de la conversación); ElevenLabs aplica su política de retención propia para audio sintetizado; Stripe conserva metadatos de pago durante aproximadamente 7 años por obligaciones fiscales (art. 6.1.c RGPD); Resend y Meta WhatsApp aplican sus propias ventanas y las solicitudes se trasladan a ellos. Más detalle en la política de privacidad.

7. Copias de seguridad

Las copias de seguridad cifradas de PostgreSQL se conservan durante aproximadamente 30 días. La supresión es inmediata en la base de datos en producción; los datos pueden persistir en copias de seguridad cifradas durante esa ventana hasta que el ciclo regular las sobrescriba. Las copias de seguridad no se utilizan para recuperar registros eliminados salvo en caso de desastre.

8. Duración

Este DPA permanece en vigor mientras dure la prestación del servicio.

Para solicitar una copia firmada con CIF y razón social, escribe a hola@sermima.es.

Data Processing Agreement (English)

Version: 2026-05-04

Courtesy translation. The Spanish version above is the legally binding text.

This Data Processing Agreement ("DPA") forms part of the Terms of Service between the Business ("Controller") and MARUBASA TECH S.L. ("Processor") and governs the processing of personal data that the Processor performs on behalf of the Controller while delivering the Sermima service.

Processor: Marubasa Tech S.L., registered office at C/ Zurbano 45, 1º 28010 Madrid, Spain, CIF B88765094, registered with the Mercantile Registry of Madrid, Sheet M-887372.

1. Subject of processing

Operation of the virtual assistant: receiving messages, generating AI-based replies, managing appointments and sending reminders.

2. Nature and purpose

Automated processing to deliver the contracted service, including storage, semantic analysis, sending and receiving messages, and communications with third-party sub-processors.

3. Categories of data and data subjects

Data subjects: visitors and customers of the Controller.
Data: identification (name, phone, email), conversation content, appointment details. No special categories are requested.

4. Obligations of the Processor

Process the data only in accordance with the Controller's documented instructions, including those embodied in the service.
Guarantee the confidentiality of authorised personnel.
Apply appropriate technical and organisational measures (encryption in transit and at rest, access controls, activity logging, backups).
Assist the Controller in handling data subject rights requests and in responding to security breaches.
Notify the Controller without undue delay of any security breach of which it becomes aware.
Return or delete the data at the end of the service.

5. Sub-processors

The Controller authorises the Processor to engage the following sub-processors, all subject to equivalent obligations by contract:

Anthropic, PBC (AI processing - USA)
OpenAI, OpCo LLC (embeddings, voice transcription and speech synthesis - USA)
Deepgram, Inc. (real-time voice call transcription - USA)
ElevenLabs Ltd. (voice synthesis for calls - United Kingdom; used optionally as an alternative to OpenAI TTS)
Stripe Payments Europe Ltd. (payments - Ireland)
Resend, Inc. (transactional email - US entity, servers in Ireland)
Meta Platforms Ireland Ltd. (WhatsApp - Ireland)
Railway, Inc. (hosting - US entity, servers in the Netherlands)

International transfers rely on the Standard Contractual Clauses approved by the European Commission. The current list of approved sub-processors is published at /subprocessors - businesses receive email notice at least 30 days before any new sub-processor is added.

6. Erasure and sub-processor behaviour

When the Controller exercises the right to erasure, the Processor immediately deletes the data from the live production database (including cascade across clients, conversations, messages, appointments and knowledge gaps). Sub-processors apply their own retention windows: Anthropic and OpenAI auto-delete API content within 30 days; Deepgram processes call audio in real time and does not retain it (the resulting text transcript IS persisted by Sermima in the messages table, alongside the rest of the conversation history); ElevenLabs applies its own retention policy for synthesised audio; Stripe retains payment metadata for approximately 7 years under tax obligations (GDPR art. 6.1.c); Resend and Meta WhatsApp apply their own windows and erasure requests are forwarded to them. See the privacy policy for full detail.

7. Backups

Encrypted PostgreSQL backups are kept for approximately 30 days. Erasure is immediate on the live database; the data may persist in encrypted backups for that rolling window before being overwritten by the next regular backup cycle. Backups are not used to recover deleted records absent a disaster.

8. Duration

This DPA remains in force for the duration of the service.

To obtain a counter-signed copy referencing your tax ID and registered name, email hola@sermima.es.